WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING-Struktur (webservices.h)
Der Sicherheitsbindungsuntertyp zum Angeben der Verwendung des Windows Integrated Authentication-Protokolls (z. B. Kerberos, NTLM oder SPNEGO) mit dem TCP-Transport. Ein bestimmtes SSP-Paket kann mithilfe der Sicherheitsbindungseigenschaft WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE ausgewählt werden. Wenn diese Eigenschaft nicht angegeben ist, wird standardmäßig SPNEGO verwendet. Die Verwendung von NTLM wird aufgrund seiner Sicherheitsschwäche (insbesondere des Fehlens der Serverauthentifizierung) dringend abgeraten. Wenn NTLM zugelassen werden soll, muss die Sicherheitsbindungseigenschaft WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH auf FALSE festgelegt werden.
Diese Sicherheitsbindung funktioniert auf der Transportsicherheitsebene und wird nur mit dem WS_TCP_CHANNEL_BINDING unterstützt. Die TCP/Windows-SSPI-Kombination verwendet das Drahtformular, das durch die Spezifikation NegotiateStreamprotocol und .NET Message Framing definiert ist.
Auf Clientseite wird die Sicherheitsidentität des Zielservers mithilfe des Identitätsfelds des WS_ENDPOINT_ADDRESS-Parameters angegeben, der während WsOpenChannel angegeben wird. Wenn es sich bei der Identität um eine WS_SPN_ENDPOINT_IDENTITY oder eine WS_UPN_ENDPOINT_IDENTITY handelt, wird dieser Zeichenfolgenidentitätswert direkt mit dem SSP verwendet. Wenn die Identität ein WS_DNS_ENDPOINT_IDENTITY ist und der Wert des DNS-Felds "d1" lautet, oder wenn im WS_ENDPOINT_ADDRESS und der Hostkomponente (gemäß Abschnitt 3.2.2 der RFC2396) keine Identität angegeben ist, lautet der Adress-URI "d1", wird das Formular "host/d1" als Server-SPN verwendet. Die Angabe eines anderen WS_ENDPOINT_IDENTITY Untertyps in WS_ENDPOINT_ADDRESS führt dazu, dass WsOpenChannel fehlschlägt.
Mit dieser Sicherheitsbindung können die folgenden Sicherheitsbindungseigenschaften angegeben werden:
- WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE
- WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH (nur clientseitig)
- WS_SECURITY_BINDING_PROPERTY_ALLOW_ANONYMOUS_CLIENTS (nur serverseitig)
- WS_SECURITY_BINDING_PROPERTY_ALLOWED_IMPERSONATION_LEVEL (nur clientseitig)
Syntax
typedef struct _WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING {
WS_SECURITY_BINDING binding;
WS_WINDOWS_INTEGRATED_AUTH_CREDENTIAL *clientCredential;
} WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING;
Member
binding
Der Basistyp, von dem dieser Sicherheitsbindungsuntertyp und alle anderen Sicherheitsbindungsuntertypen abgeleitet werden.
clientCredential
Die Anmeldeinformationen der integrierten Windows-Authentifizierung, die zum Authentifizieren des Clients verwendet werden sollen. Dies ist auf dem Client erforderlich und darf nicht auf dem Server angegeben werden.
Anforderungen
| Unterstützte Mindestversion (Client) | Windows 7 [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) | Windows Server 2008 R2 [nur Desktop-Apps] |
| Kopfzeile | webservices.h |